Amazon ECR
用户指南 (API Version 2015-09-21)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon ECR IAM 策略和角色

默认情况下,IAM 用户没有创建或修改 Amazon ECR 资源或使用 Amazon ECR API 执行任务的权限。(这意味着他们不能使用 Amazon ECR 控制台或 AWS CLI 执行这些操作。)要允许 IAM 用户创建或修改资源和执行任务,您必须创建 IAM 策略以允许 IAM 用户使用他们所需的特定资源和 API 操作,然后将这些策略与需要这些权限的 IAM 用户或组关联起来。

当您将策略与一个用户或一组用户关联时,它会授权或拒绝用户使用指定资源执行指定任务。有关更多信息,请参阅 IAM 用户指南 中的 权限与策略管理 IAM 策略

同样,Amazon ECS 容器实例会代表您调用 Amazon ECR API (拉取 Amazon ECS 任务定义中使用的 Docker 映像),因此,它们需要验证您的凭证。在启动容器实例时,通过为容器实例创建 IAM 角色并将该角色与它们关联来执行此身份验证。有关更多信息,请参阅 Amazon Elastic Container Service Developer Guide 中的 Amazon ECS 容器实例 IAM 角色。有关 IAM 角色的更多信息,请参阅 IAM 用户指南 中的 IAM 角色

入门

IAM 策略必须授予或拒绝使用一个或多个 Amazon ECR 操作的权限。它还必须指定可以用于操作的资源 (可以是所有资源,在某些情况下可以是特定资源)。策略还可以包含应用于资源的条件。

Amazon ECR 部分支持资源级权限。这意味着对于某些 Amazon ECS API 操作,您无法指定允许用户为哪个资源使用该操作;而必须允许用户为所有资源使用该操作。